-
O certificado digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave pública. Ele pode ser emitido para pessoas, empresas, equipamentos ou serviços na rede (por exemplo, um site Web) e pode ser homologado para diferentes usos, como confidencialidade e assinatura digital.
Um certificado digital pode ser comparado a um documento de identidade, por exemplo, o seu passaporte, no qual constam os seus dados pessoais e a identificação de quem o emitiu. No caso do passaporte, a entidade responsável pela emissão e pela veracidade dos dados é a Polícia Federal. No caso do certificado digital esta entidade é uma Autoridade Certificadora (AC).
Alguns tipos especiais de certificado digital que você pode encontrar são:
Certificado autoassinado: é aquele no qual o dono e o emissor são a mesma entidade. Costuma ser usado de duas formas:
Legítima: além das ACs raízes, certificados autoassinados também costumam ser usados por instituições de ensino e pequenos grupos que querem prover confidencialidade e integridade nas conexões, mas que não desejam (ou não podem) arcar com o ônus de adquirir um certificado digital validado por uma AC comercial.
Maliciosa: um atacante pode criar um certificado autoassinado e utilizar, por exemplo, mensagens de phishing (mais detalhes na Seção 2.3 do Capítulo Golpes na Internet), para induzir os usuários a instalá-lo. A partir do momento em que o certificado for instalado no navegador, passa a ser possível estabelecer conexões cifradas com sites fraudulentos, sem que o navegador emita alertas quanto à confiabilidade do certificado.
Certificado EV SSL (Extended Validation Secure Socket Layer): certificado emitido sob um processo mais rigoroso de validação do solicitante. Inclui a verificação de que a empresa foi legalmente registrada, encontra-se ativa e que detém o registro do domínio para o qual o certificado será emitido, além de dados adicionais, como o endereço físico.
Um dos níveis de proteção de conexão usada na Internet envolve o uso de certificados autoassinados e/ou cuja cadeia de certificação não foi reconhecida. Este tipo de conexão não pode ser caracterizado como sendo totalmente seguro (e nem totalmente inseguro) pois, apesar de prover integridade e confidencialidade, não provê autenticação, já que não há garantias relativas ao certificado em uso.
Fonte: http://www.iti.gov.br/
-
O cara falou ... falou e não saiu do canto!
Resumindo:
Qualquer um pode "autoatestar" uma certificação fingindo ser outra entidade, para garantir sua autoria o certo é você ser atestado por uma entidade confiável que é a entidade certificadora!
-
"É suficiente".....na CESPE, marca E e corre pro abraço!
-
Acho que a pegadinha foi dizer que o certificado foi autoassinado pelo cliente. O blablabla todo foi para induzir que, entre a matriz e filiais o certificado autoassinado bastaria, o que neste contexto intra-organizacional estaria correto. Contudo, a questão aborda o envio dos clientes à filiais. Neste caso as Filiais não tem como garantir a autenticidade dos certificados assinados pelos Clientes.
"O uso de certificados autoassinados para assinar eletronicamente os documentos digitais enviados pelos clientes às filiais é suficiente para garantir a autoria do envio desses documentos. "
-
Certificado autoassinado: é aquele no qual o dono e o emissor são a mesma entidade. Costuma ser usado de duas formas:
Legítima: além das ACs raízes, certificados autoassinados também costumam ser usados por instituições de ensino e pequenos grupos que querem prover confidencialidade e integridade nas conexões, mas que não desejam (ou não podem) arcar com o ônus de adquirir um certificado digital validado por uma AC comercial.
Maliciosa: um atacante pode criar um certificado autoassinado e utilizar, por exemplo, mensagens de phishing (mais detalhes na Seção 2.3 do Capítulo Golpes na Internet), para induzir os usuários a instalá-lo. A partir do momento em que o certificado for instalado no navegador, passa a ser possível estabelecer conexões cifradas com sites fraudulentos, sem que o navegador emita alertas quanto à confiabilidade do certificado.
https://cartilha.cert.br/criptografia/